Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni

Michał Pilc – Dział Bezpieczeństwa ICT, PCSS Warszawa, 06.04.2017

Konferencja „Kongres Bezpieczeństwa Sieci”

Agenda

• PCSS i bezpieczeństwo teleinformatyczne

• Kierunki rozwoju sieci teleinformatycznych

• Centra danych i chmury obliczeniowe

• Sieci Internetu Rzeczy

• Audyty bezpieczeństwa

• Pytania, dyskusja

2

PCSS

• Operator sieci PIONIER oraz POZMAN

• Uczestnik europejskich i krajowych projektów naukowo-badawczych

• Realizacja prac B+R z nauką, administracją oraz biznesem

• Główne obszary zainteresowań

– Sieci nowej generacji (NGN)

– Nowe architektury przetwarzania danych

– Zaawansowane aplikacje

– Usługi Internetu Rzeczy

– Bezpieczeństwo sieci i systemów

Rok założenia – 1993

3

Podstawowe obszary działania w zakresie bezpieczeństwa IT

Nadzór nad infrastrukturą („Praca operacyjna”)

Zadania bezpieczeństwa w projektach naukowo-badawczych

Realizacja misji szkoleniowej

Współpraca z jednostkami zewnętrznymi

Badania własne w dziedzinie bezpieczeństwa IT 4

Trendy w rozwoju sieci teleinformatycznych

• Wszędobylska sieć, duża liczba urządzeń małej mocy

• Rozproszenie, fragmentacja, mnogość standardów

• Wirtualizacja (centra danych, chmury obliczeniowe)

• Integracja z technologiami przyszłości (komputery kwantowe,

lekka kryptografia, bezpieczeństwo warstwy fizycznej)

5G, Bluetooth LE, IoT (M2M, V2V, IoE), Cloud Computing

5

Centra danych i chmury obliczeniowe

Wyzwania

• Bezpieczne współdzielenie zasobów

• Bezpieczny dostęp zdalny

• Dostępność infrastruktury

– ochrona przed atakami DDoS (ang. Distributed Denial of Service)

– środki ochrony fizycznej (np. chłodzenie, kontrola dostępu, systemy ppoż.)

– ochrona danych (RAID, kopie zapasowe, ochrona dostępu do danych)

Bezpieczeństwo danych użytkowników i sieci

6

Urząd Miasta

szpital

małe firmy

osoby fizyczne

Rodzaje chmur obliczeniowych

1) Ze względu na rodzaj świadczonych usług:

IaaS (ang. Infrastructure as a Service)

PaaS (ang. Platform as a Service)

SaaS (ang. Software as a Service)

2) Ze względu na model użycia:

publiczne

prywatne

wspólnotowe

mieszane (hybrydowe)

Ze względu na rodzaj usług i model użycia

7

Zagrożenia bezpieczeństwa

1. Bezpieczeństwo danych

2. Interfejs zarządzania chmurą

3. Pracownicy dostawcy centrum danych

4. Nieznany profil ryzyka

5. Utrudnione wykrycie przestępstw komputerowych

6. Współdzielenie zasobów przez wielu klientów

Centra danych i chmury obliczeniowe

8

Ochrona danych w chmurach obliczeniowych

Szyfrowanie danych:

- w spoczynku

- przy transporcie

- w użyciu

Szyfrowanie

9

001011… 10110111001….

SaaS

• konsument

• operator

• trzecia strona

PaaS

• aplikacja

• infrastruktura chmury obliczeniowej

IaaS

• pojemnościowe

• plikowe

• na poziomie aplikacji

Miejsce szyfrowania danych

Szyfrowanie w chmurach obliczeniowych Wyzwania

10

001011… 10110111001…. 1. Mechanizmy autoryzacji (np. ABAC)

2. Dostępność zaszyfrowanych danych

3. Integralność zaszyfrowanych danych

4. Zapewnienie bezpiecznych mechanizmów wymiany informacji

5. Zgodność z prawem i standardami

6. Zarządzanie kluczami

7. Przeszukiwanie i sortowanie zaszyfrowanych danych

Internet Rzeczy (ang. Internet of Things, IoT) Definicja, historia

11

• Sieci inteligentne (inteligentny dom, kampus, miasto)

• Sieci sensorów i urządzeń oraz aplikacji sterujących (ang. wireless sensor and actuator networks, WSAN)

• Sieci łączące:

- urządzenia (ang. device-to-device, D2D),

- maszyny (ang. machine-to-machine, M2M),

- samochody (ang. vehicle-to-vehicle,V2V)

• Automatyka przemysłowa, sieci SCADA

• 14,4 biliony USD – rynek IoT do 2022 r.

Główne czynniki eskalacji problemu bezpieczeństwa w IoT

12

Brak standardyzacji, bardzo duża

fragmentacja rozwiązań

Konieczność nagłej adaptacji znanych

strategii bezpieczeństwa do IoT

Bardzo trudna dystrybucja poprawek

bezpieczeństwa

Ograniczone zasoby obliczeniowe w wielu

urządzeniach

Wielu użytkowników, korzystających z bardzo

różnych rozwiązań

Przykłady z życia wzięte Zagrożenia, podatności, luki bezpieczeństwa

13

• Botnet Mirai – październik 2016r. atak DDoS w USA

• Włamanie do inteligentnej lodówki – ujawnienie haseł

dostępu do poczty w komputerze domowym (2014)

• Urządzenie DVR, obsługa rejestratorów kamer

przy siódmej próbie zalogowania jako użytkownik admin aplikacja

Web daje dostęp do panelu zarządzającego

potencjalnie umożliwia włamanie do sieci komputerowej

Co w takim razie możemy zrobić?

14

Myśleć o bezpieczeństwie produktu od samego początku

Właściwie skonstruować cykl życia systemu (Secure Development Life Cycle)

Mieć świadomość zagrożeń oraz właściwie oszacować ryzyko

Wdrożyć odpowiednie mechanizmy uwierzytelniania, kontroli dostępu, …

Być przygotowanym na właściwą reakcję po staniu się ofiarą ataku

Producent urządzeń IoT Użytkownik sieci IoT

Nasze badania nad bezpieczeństwem IoT

• Cel: budowa interoperacyjnej platformy dla integracji aktualnych i przyszłych środowisk IoT

– PCSS działa na kilku obszarach badawczych, m.in. bezpieczeństwa

• Detekcja anomalii

• Zapewnienie bezpieczeństwa tworzonych rozwiązań

– https://www.symbiote-h2020.eu/

• Działania w ramach AIOTI WG 4

Projekt symbIoTe – „Symbiosis of smart objects across IoT environments” (2016-2018)

15

Audyt bezpieczeństwa infrastruktury IT

• Profilaktyka

• Znajdowanie słabych punktów przed incydentem bezpieczeństwa

• Audyt: – weryfikacja zgodności stanu istniejącego ze stanem pożądanym

– działanie zmierzające do wspomagania biorcy audytu

• Audyt wewnętrzny a zewnętrzny

• Dlaczego warto przeprowadzić audyt zewnętrzny? – niezależna ocena stanu bezpieczeństwa

– rekomendacje dotyczące przyszłych wdrożeń systemów IT

– weryfikacja pracy własnych pracowników

– symulacja ataku i sprawdzenie reakcji personelu

„Lepiej zapobiegać, niż leczyć”

16

Analiza ciągłości działania

Bezpieczeństwo prawne

Bezpieczeństwo osobowe

Bezpieczeństwo stacji

roboczych

Bezpieczeństwo serwerów

Bezpieczeństwo dostępu zdalnego

Bezpieczeństwo sieci

Bezpieczeństwo fizyczne

Audyt teleinformatyczny

Koszty

Opłacalność

Obszary merytoryczne audytu

Współpraca zewnętrzna w zakresie bezpieczeństwa IT

• Usługi audytorskie

– Kompleksowe audyty teleinformatyczne

– Testy penetracyjne

– Przeglądy kodu źródłowego i binarnego

– Testy odporności na ataki DoS/DDoS

• Usługi doradcze i wdrożeniowe

• Usługi świadczone w modelu ciągłym

• Usługi uzupełniające

– m.in. szkolenia z zakresu bezpieczeństwa

• Więcej: http://security.psnc.pl/katalog.pdf 18

Pytania?

19

Dane kontaktowe

• Autor prezentacji

– Michal.Pilc@man.poznan.pl

• Dział Bezpieczeństwa ICT PCSS

– security@man.poznan.pl

– http://security.psnc.pl

• PCSS

– office@man.poznan.pl

– http://www.pcss.pl

20

Poznańskie Centrum Superkomputerowo - Sieciowe

ul. Noskowskiego 12/14, 61-704 Poznań,

tel : (+48 61) 858-20-00, fax: (+48 61) 852-59-54,

e-mail: office@man.poznan.pl, http://www.pcss.pl

afiliowane przy Instytucie Chemii Bioorganicznej PAN,